Pesquisadores de segurança digital identificaram uma campanha de phishing que utiliza falsas vagas de emprego atribuídas à L’Oréal para roubar credenciais de acesso a contas de e-mail. O golpe, descoberto pela empresa de segurança ESET, segue uma estrutura já observada em ataques anteriores que usaram nomes de outras marcas globais. A L’Oréal informou que não tem qualquer relação com as mensagens ou páginas fraudulentas.
Como o golpe funciona
O primeiro contato com a vítima ocorre por e-mail. As mensagens aparentam ter sido enviadas por recrutadores ou equipes de recursos humanos e apresentam supostas vagas atrativas, com um link para avançar nas etapas do processo seletivo.
O golpe funciona em duas etapas:
- Coleta de dados pessoais: o candidato preenche informações como nome, telefone e endereço.
- Solicitação da senha do e-mail: sob o argumento de que a medida seria necessária para validar a candidatura, os criminosos pedem a senha da conta de e-mail.
Esse pedido, segundo a ESET, é um sinal imediato de tentativa de fraude. Empresas legítimas jamais solicitam senhas de e-mail como requisito para participação em processos seletivos. A sofisticação crescente desse tipo de ataque foi destacada por Santos, especialista da ESET, que ressalta a importância de os candidatos estarem atentos.
Alcance do dano
Dependendo de quais serviços estão conectados ao e-mail comprometido, a extensão do dano pode chegar a redes sociais, plataformas corporativas, aplicativos financeiros e contas bancárias. Casos semelhantes vêm sendo registrados por pesquisadores de segurança e compartilhados em redes sociais desde pelo menos 2025.
Em muitas campanhas, os criminosos recorrem a páginas que imitam serviços de formulários online conhecidos para aumentar a credibilidade do golpe. Segundo a ESET, outras marcas globais como Coca-Cola, RedBull e Ogilvy também já tiveram seus nomes usados em campanhas com estrutura semelhante. A fonte não detalhou o número de vítimas ou o volume de mensagens enviadas.
Dicas de proteção
- Desconfie de qualquer processo seletivo que peça senhas ou credenciais de acesso.
- Verifique o domínio do remetente antes de clicar em qualquer link.
- Confirme a existência da vaga diretamente nos canais oficiais da empresa.
- Ative a autenticação multifator nas suas contas pessoais.
- Nunca preencha credenciais em formulários enviados por e-mail.
Fonte
- canaltech.com.br
- WhatsApp (canalte.ch)